Белый хакер Cyber Security🧑🏻‍💻

🎭 Иранские хакеры притворились IT-поддержкой и слили данные через Teams Привет! Нашли разбор атаки начала 2026 года, которая казалась дефолтным ransomware, а оказалась иранской государственной операцией. MuddyWater зашли через Microsoft Teams и несколько месяцев сидели внутри пока все думали что это обычные вымогатели.

    
        👨‍💻 Схема простая, но рабочая. Пишут сотруднику в Teams, представляются IT-поддержкой, просят открыть screen-sharing. Дальше в прямом эфире убеждают ввести credentials в текстовый файл и подтвердить MFA. Человек думает что решает какую-то рабочую проблему, а на деле только что отдал доступ.{}
    

⚙️ Закрепившись внутри, ставили DWAgent и AnyDesk для постоянного доступа, потом через curl тянули RAT Darkcomp, замаскированный под легитимное приложение Microsoft WebView2. Тот опрашивал C2 каждые 60 секунд и ждал команд. ➡️Файлы в итоге никто не шифровал, хотя артефакты ransomware Chaos в системе были. Вымогательство было прикрытием чтобы направить расследование в сторону обычных криминальных группировок. Реальной целью были данные и долгосрочный доступ к инфраструктуре. P.S MuddyWater всё активнее берёт готовые инструменты из киберкриминального подполья вместо собственных разработок. Атрибутировать сложнее, разрабатывать дешевле. #attack #Infosec #socialengeering 👍 Белый хакер

⌨️ Команда недели Привет! В прошлый раз разобрали gobuster для перебора директорий. Сегодня про то, что запускают когда нашли API.

    
        ffuf -u https://target/api/v1/FUZZ -w /usr/share/seclists/Discovery/Web-Content/api-endpoints.txt -mc 200,201,301,302,403 -fc 404 -t 40 -H "Authorization: Bearer TOKEN"{}
    

Документации нет, swagger не торчит, но эндпоинты где-то существуют. ffuf перебирает их по словарю и показывает что отвечает, часто находит то что не задокументировано и не светится снаружи.

    
        👨‍💻 Эта сборка ищет всё что может быть интересным.{}
    

-u с FUZZ - место куда подставляются слова из словаря, можно вставить в любую часть запроса -w - словарь, у SecLists есть отдельные списки под API, лучше чем generic директории -mc - какие статус-коды считать результатом, 403 тоже берём, закрытый эндпоинт это уже информация -fc 404 - фильтруем мусор -t 40 - потоки, на реальных таргетах лучше не задирать выше -H - если уже есть токен, сразу добавляем чтобы видеть авторизованные эндпоинты P.S Самое интересное обычно за 403: эндпоинт существует, но доступ закрыт. Иногда достаточно поменять метод с GET на POST или добавить X-Original-URL. Какой словарь используете под API? 👇 #команда #ffuf #pentest 👍 Белый хакер

❌ Миф: шифрование защищает данные Шифрование работает. Это не миф и не преувеличение. Миф в том, что его вообще достаточно.

    
        👨‍💻Большинство атак не ломают шифрование, они его обходят. Зачем расшифровывать трафик если можно украсть сессионный токен и зайти как обычный пользователь. Кейс с iOS и Signal свежий пример: переписка зашифрована, но уведомления оседали в системной базе в открытом виде и ФБР спокойно их прочитало через форензику.{}
    

🔎 С шифрованием в покое та же история. Диск зашифрован, база зашифрована, всё хорошо. Но приложение всё это расшифровывает чтобы работать, и если атакующий добрался до работающего процесса или памяти, диск ему уже неинтересен. 🔐 Ransomware вообще переворачивает логику с ног на голову. Атакующие сами шифруют ваши данные. Получается что шифрование одновременно и защита и оружие, зависит от того в чьих руках ключи. P.S Шифрование закрывает конкретные сценарии: перехват трафика, кража носителя, утечка бэкапов. Всё остальное это уже про доступ, мониторинг и то кому вы доверяете внутри периметра. #хакер #миф 👍 Белый хакер

Кадровый голод в ИБ + ограниченный бюджет = ? Ситуация знакома: под прицелом хакеров уже не только крупные корпорации, но и средний и малый бизнес, у которых зачастую нет ресурсов на SOC и нет возможности нанять квалифицированных специалистов. А атаки продолжаются. В этой ситуации PT X — не просто решение, а практически единственный шанс получить экспертный уровень защиты. Присоединяйтесь к вебинару 7 мая в 14:00, где разберем: • почему РТ Х работает для разных отраслей — от мелких производств до крупных FMCG; • в чем ценность облачного подхода при противодействии APT-атакам; • как мы отвечаем за результат своими деньгами с помощью постоянной оценки защищенности белыми хакерами. Регистрируйтесь и узнайте, как проложить быстрый путь к постоянной защите — с финансовыми гарантиями, а не формальными SLA.

🔐 CVE в VMware Aria Operations эксплуатируют в реальных атаках CISA добавила CVE-2026-22719 в каталог активно эксплуатируемых уязвимостей. Command injection в VMware Aria Operations с оценкой 8.1, позволяет неаутентифицированному атакующему выполнить произвольный код удалённо, но только пока идёт миграция продукта с поддержкой вендора.

    
        👨‍💻 Вместе с ней закрыли ещё две: CVE-2026-22720, stored XSS, и CVE-2026-22721, эскалация привилегий до административного доступа. Затронуты VMware Aria Operations 8.x и VMware Cloud Foundation/vSphere Foundation 9.x.{}
    

❕ Патчи уже есть: Aria Operations 8.18.6 и Cloud Foundation 9.0.2.0. Если обновиться сейчас не получается, Broadcom выложили workaround-скрипт aria-ops-rce-workaround.sh, запускается от root на каждой ноде. 🔎 Детали об атаках пока не раскрывают: кто стоит за эксплуатацией и какой масштаб - неизвестно. Broadcom подтверждают только сам факт сообщений об эксплуатации. Федеральные агентства США обязаны закрыть уязвимость до 24 марта. P.S. Aria Operations это централизованное управление всей виртуальной инфраструктурой, доступ туда даёт видимость и контроль над всем что внутри. #attack #Infosec #Apple 👍 Белый хакер

📱Фейковая капча списывала деньги через SMS Infoblox раскрыли схему, которая работает с 2020 года. Пользователь заходит на сайт, видит капчу с просьбой «подтвердить что ты человек» через SMS, и незаметно для себя отправляет десятки сообщений на международные номера с высокими тарифами.

    
        👨‍💻 Механика простая. Капча состоит из нескольких шагов, каждый триггерит новое SMS. Телефонные приложения открываются автоматически с уже заполненным номером и текстом - пользователь просто жмёт отправить. За четыре шага уходит до 60 сообщений на 15 разных номеров в 17 странах. Итого около $30 с одного человека. Немного, но при масштабе сходится.{}
    

⚙️ Деньги идут через схему IRSF - мошенники регистрируют номера в странах с высокими тарифами на входящий трафик, например в Азербайджане или Казахстане, и получают долю от межоператорских платежей. Жертва видит списание в счёте через несколько недель, когда уже не помнит про капчу. 🔎 Чтобы пользователь не ушёл, страница перехватывает кнопку «назад» через JavaScript и возвращает обратно на фейковую капчу. Единственный выход - полностью закрыть браузер. P.S. Параллельно та же инфраструктура через Keitaro TDS гоняла крипто-скамы с фейковыми ИИ-трейдерами и дипфейками знаменитостей. 96% трафика вело на дренеры криптокошельков. #attack #Infosec #socialengeering 👍 Белый хакер

Изучаете программирование, или хотите стать классным айтишником с высокой ЗП? Пока многие паникуют из-за бума ИИ, вы можете стремительно войти в сферу IT при помощи сборки "IT в деле" которую мы составили. Специально для вас разбили нашу сборку мини папки по конкретным тематикам:) Что внутри сборки: - Каналы о программировании и разработке: Python, CSS, HTML, Java и Swift - GameDev и каналы о QA тестироварии, создание игр, помощь для ваших проектов и реальный опыт от тестировщиков 💍 - Авторские каналы и вайбкодинг: IT & AI, простые заметки с проектов, работа с нейросетями, и как они реально влияют на индустрию 🔤 - Информационная безопасность: многое узнаете о работе хакеров и о том, как защитить себя в этом интернет-хаосе. 🔫 Для каждого здесь что-то найдётся! Выберите интересные вам каналы или подпишитесь на всю сборку, и найдите то, что нужно вам для следующего шага в IT.

🤖 Расширение для Chrome могло угнать панель Gemini Palo Alto Networks нашли уязвимость в Chrome, закрытую в январе 2026 года. Обычное расширение с базовым набором прав могло захватить панель Gemini и получить доступ к камере, микрофону, локальным файлам и скриншотам любых сайтов.

    
        👨‍💻Gemini в Chrome работает через отдельный компонент на chrome://glic, который загружает веб-приложение внутри WebView. WebView случайно выпал из списка компонентов защищённых от вмешательства расширений. В итоге расширение с доступом к declarativeNetRequest API, тому самому которым пользуются блокировщики рекламы, могло инжектировать JavaScript прямо в панель и взаимодействовать со всеми её привилегиями.{}
    

⚙️ Для эксплуатации достаточно убедить пользователя установить вредоносное расширение. Расширение влияющее на сайт это ожидаемое поведение, расширение влияющее на встроенный компонент браузера это уже дыра в модели безопасности Chrome. 🔎 Чем глубже ИИ-агенты встраиваются в браузер, тем больше привилегий им нужно и тем интереснее они становятся как цель. Prompt injection через вредоносную страницу это уже реальный вектор для таких компонентов. P.S. Уязвимость закрыта в версии 143.0.7499.192. #attack #Infosec #socialengeering 👍 Белый хакер

Хотите стать пентестером и предотвращать кибератаки? 👀 Запишитесь на курс «Профессия Пентестер» от Академии Кодебай! Стартуем 25 мая — регистрация здесь. Что вы получите? 🔸 Научитесь атаковать сети, WEB-сайты, ОС и устройства и проводить внутренний и внешний пентест 🔸 Освоите полный цикл пентеста: от Kali Linux до написания эксплойтов и обхода антивирусов. 🔸 Сможете участвовать в Bug Bounty программах или построить карьеру в информационной безопасности Полный цикл обучения: ⌨️ от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений ⌨️ от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети Присоединяйтесь к Академии Кодебай – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки! 🚀 По всем вопросам пишите @CodebyAcademyBot